Przewodnik dotyczący planowania i operacji

Ten przewodnik jest przeznaczony dla specjalistów it, architektów IT, analityków zabezpieczeń informacji i administratorów chmury planujących korzystanie z Defender dla Chmury.

Przewodnik planowania

W tym przewodniku opisano zadania, które można wykonać, aby zoptymalizować użycie Defender dla Chmury na podstawie wymagań dotyczących zabezpieczeń organizacji i modelu zarządzania chmurą. Aby w pełni wykorzystać Defender dla Chmury, ważne jest, aby zrozumieć, jak różne osoby lub zespoły w organizacji korzystają z usługi w celu spełnienia wymagań dotyczących bezpiecznego programowania i operacji, monitorowania, ładu i reagowania na zdarzenia. Kluczowe obszary, które należy wziąć pod uwagę podczas planowania korzystania z Defender dla Chmury, to:

  • Role zabezpieczeń i kontrola dostępu
  • Zasady zabezpieczeń i zalecenia w tym zakresie
  • Zbieranie i przechowywanie danych
  • Dołączanie zasobów innych niż platformy Azure
  • Bieżące monitorowanie zabezpieczeń
  • Reagowanie na zdarzenia

W następnej sekcji dowiesz się, jak utworzyć plan dla każdego z tych obszarów i zastosować te zalecenia w zależności od wymagań.

Uwaga

Przeczytaj Defender dla Chmury często zadawane pytania, aby uzyskać listę typowych pytań, które mogą być przydatne podczas fazy projektowania i planowania.

Role zabezpieczeń i kontrola dostępu

W zależności od rozmiaru i struktury organizacji wiele osób i zespołów może używać Defender dla Chmury do wykonywania różnych zadań związanych z zabezpieczeniami. Poniższy diagram przedstawia przykład fikcyjnych osób oraz ich ról i obowiązków związanych z zabezpieczeniami:

Roles.

Defender dla Chmury umożliwia tym osobom spełnienie tych różnych obowiązków. Na przykład:

Jan (właściciel obciążenia)

  • Zarządza obciążeniem chmury i powiązanymi zasobami
  • Odpowiada za zaimplementowanie i utrzymanie ochrony zgodnie z zasadami zabezpieczeń firmy

Aneta (CISO/CIO)

  • Odpowiada za wszystkie aspekty zabezpieczeń firmy
  • Chce zrozumieć poziom zabezpieczeń firmy w przypadku różnych obciążeń chmury
  • Potrzebuje informacji o najpoważniejszych atakach i zagrożeniach

Daniel (Zabezpieczenia informatyczne)

  • Określa firmowe zasady zabezpieczeń w celu zapewnienia odpowiedniej ochrony
  • Monitoruje zgodność z zasadami
  • Generuje raporty dla kierownictwa lub audytorów

Magda (operacje zabezpieczeń)

  • Bez przerwy monitoruje alerty zabezpieczeń i reaguje na nie
  • Eskaluje do właściciela obciążenia chmury lub analityka zabezpieczeń informatycznych

Stanisław (analityk zabezpieczeń)

  • Bada ataki
  • Praca z właścicielem obciążenia chmury w celu zastosowania rozwiązania

Defender dla Chmury używa kontroli dostępu opartej na rolach (RBAC) platformy Azure, która zapewnia wbudowane role, które można przypisać do użytkowników, grup i usług na platformie Azure. Gdy użytkownik otworzy Defender dla Chmury, zobaczy tylko informacje związane z zasobami, do których mają dostęp. Oznacza to, że użytkownik ma przypisaną rolę właściciela, współautora lub czytelnika subskrypcji albo grupy zasobów, do której należy zasób. Oprócz tych ról istnieją dwie konkretne role Defender dla Chmury:

  • Czytelnik zabezpieczeń: użytkownik należący do tej roli może wyświetlać tylko Defender dla Chmury konfiguracje, które obejmują zalecenia, alerty, zasady i kondycję, ale nie będzie mógł wprowadzać zmian.
  • Administrator zabezpieczeń: użytkownik ma takie same uprawnienia, jak w przypadku roli Czytelnik zabezpieczeń, ale ma również możliwość aktualizowania zasad zabezpieczeń oraz odrzucania zaleceń i alertów.

Opisane powyżej role Defender dla Chmury nie mają dostępu do innych obszarów usług platformy Azure, takich jak Storage, Web & Mobile lub Internet rzeczy.

Korzystając z osób opisanych na poprzednim diagramie, potrzebna jest następująca kontrola dostępu oparta na rolach platformy Azure:

Jan (właściciel obciążenia)

  • Właściciel/współautor grupy zasobów

Aneta (CISO/CIO)

  • Właściciel/współautor subskrypcji lub administrator zabezpieczeń

Daniel (Zabezpieczenia informatyczne)

  • Właściciel/współautor subskrypcji lub administrator zabezpieczeń

Magda (operacje zabezpieczeń)

  • Czytelnik subskrypcji lub czytelnik zabezpieczeń przeglądający alerty
  • Właściciel/współautor subskrypcji lub administrator zabezpieczeń wymagany do odrzucenia alertów

Stanisław (analityk zabezpieczeń)

  • Czytelnik subskrypcji przeglądający alerty
  • Właściciel/współautor subskrypcji wymagany do odrzucenia alertów
  • Może być wymagany dostęp do obszaru roboczego

Niektóre inne istotne informacje, które należy wziąć pod uwagę:

  • Tylko właściciele lub współautorzy subskrypcji i administratorzy zabezpieczeń mogą edytować zasady zabezpieczeń.
  • Tylko właściciele i współautorzy subskrypcji i grupy zasobów mogą stosować zalecenia dotyczące zabezpieczeń zasobu.

Podczas planowania kontroli dostępu przy użyciu kontroli dostępu opartej na rolach platformy Azure na potrzeby Defender dla Chmury upewnij się, kto w organizacji będzie korzystać z Defender dla Chmury. Ponadto, jakie typy zadań będą wykonywać, a następnie odpowiednio skonfigurować kontrolę dostępu opartą na rolach platformy Azure.

Uwaga

Zaleca się przypisanie użytkownikom najbardziej ograniczonej roli wystarczającej do wykonywania zadań. Na przykład użytkownikom, którzy muszą tylko przeglądać informacje o stanie zabezpieczeń zasobów, ale nie muszą podejmować działań, np. stosować zaleceń ani edytować zasad, należy przypisać rolę czytelnika.

Zasady zabezpieczeń i zalecenia w tym zakresie

Zasady zabezpieczeń definiują pożądaną konfigurację Twoich obciążeń oraz pomagają zapewnić zgodność z wymaganiami dotyczącymi zabezpieczeń określonymi przez firmę lub przepisy. W Defender dla Chmury można zdefiniować zasady dla subskrypcji platformy Azure, które można dostosować do typu obciążenia lub poufności danych.

Defender dla Chmury zasady zawierają następujące składniki:

  • Zbieranie danych: ustawienia agenta aprowizacji i zbierania danych.
  • Zasady zabezpieczeń: Azure Policy, która określa, które kontrolki są monitorowane i zalecane przez Defender dla Chmury lub używają Azure Policy do tworzenia nowych definicji, definiowania dodatkowych zasad i przypisywania zasad między grupami zarządzania.
  • Wiadomości e-mail z powiadomieniami: ustawienia kontaktów i powiadomień dotyczących zabezpieczeń.
  • Warstwa cenowa: z rozszerzonymi funkcjami zabezpieczeń Microsoft Defender dla Chmury, które określają, które funkcje Defender dla Chmury są dostępne dla zasobów w zakresie (można określić dla subskrypcji i obszarów roboczych przy użyciu interfejsu API).

Uwaga

Określenie kontaktu dotyczącego zabezpieczeń, za pomocą którego zespół platformy Azure może się skontaktować z odpowiednią osobą w Twojej organizacji, jeśli wystąpi incydent związany z zabezpieczeniami. Aby uzyskać więcej informacji na temat włączania tego zalecenia, przeczytaj artykuł Provide security contact details in Defender dla Chmury (Podaj szczegóły dotyczące kontaktu zabezpieczeń w Defender dla Chmury).

Definicje i zalecenia dotyczące zasad zabezpieczeń

Defender dla Chmury automatycznie tworzy domyślne zasady zabezpieczeń dla każdej subskrypcji platformy Azure. Zasady można edytować w Defender dla Chmury lub użyć Azure Policy do tworzenia nowych definicji, definiowania dodatkowych zasad i przypisywania zasad w grupach zarządzania (które mogą reprezentować całą organizację, jednostkę biznesową itp.) i monitorować zgodność z tymi zasadami w tych zakresach.

Przed skonfigurowaniem zasad zabezpieczeń przejrzyj poszczególne zalecenia dotyczące zabezpieczeń i określ, czy te zasady są właściwe dla różnych subskrypcji i grup zasobów. Ważne jest również, aby zrozumieć, jakie działania powinny zostać podjęte w celu wypełnienia zaleceń dotyczących zabezpieczeń oraz kto w organizacji będzie odpowiedzialny za monitorowanie pod kątem nowych zaleceń i podejmowanie wymaganych działań.

Zbieranie i przechowywanie danych

Defender dla Chmury używa agenta usługi Log Analytics — jest to ten sam agent używany przez usługę Azure Monitor do zbierania danych zabezpieczeń z maszyn wirtualnych. Dane zebrane z tego agenta będą przechowywane w obszarach roboczych usługi Log Analytics.

Agent

Po włączeniu automatycznej aprowizacji w zasadach zabezpieczeń agent usługi Log Analytics (dla Windows lub Linux) jest instalowany na wszystkich obsługiwanych maszynach wirtualnych platformy Azure oraz na wszystkich nowo utworzonych maszynach wirtualnych platformy Azure. Jeśli maszyna wirtualna lub komputer ma już zainstalowanego agenta usługi Log Analytics, Defender dla Chmury będzie korzystać z bieżącego zainstalowanego agenta. Proces agenta został zaprojektowany tak, aby był nieinwazyjny i miał bardzo minimalny wpływ na wydajność maszyny wirtualnej.

Agent usługi Log Analytics dla Windows wymaga użycia portu TCP 443. Przeczytaj artykuł na temat rozwiązywania problemów, aby uzyskać więcej informacji.

Jeśli w dowolnym momencie chcesz wyłączyć funkcję zbierania danych, możesz to zrobić w zasadach zabezpieczeń. Jednak ze względu na to, że agent usługi Log Analytics może być używany przez inne usługi zarządzania i monitorowania platformy Azure, agent nie zostanie odinstalowany automatycznie po wyłączeniu zbierania danych w Defender dla Chmury. W razie potrzeby można odinstalować agenta ręcznie.

Uwaga

Aby znaleźć listę obsługiwanych maszyn wirtualnych, przeczytaj Defender dla Chmury często zadawane pytania.

Workspace

Obszar roboczy to zasób platformy Azure, który służy jako kontener dla danych. Ty i inni członkowie organizacji możecie używać wielu obszarów roboczych, aby zarządzać różnymi zestawami danych zebranymi z całej infrastruktury IT lub jej części.

Dane zebrane z agenta usługi Log Analytics (w imieniu Defender dla Chmury) będą przechowywane w istniejących obszarach roboczych usługi Log Analytics skojarzonych z subskrypcją platformy Azure lub nowymi obszarami roboczymi, uwzględniając obszar geograficzny maszyny wirtualnej.

W Azure Portal możesz wyświetlić listę obszarów roboczych usługi Log Analytics, w tym wszystkie utworzone przez Defender dla Chmury. W przypadku nowych obszarów roboczych zostanie utworzona powiązana grupa zasobów. W obu przypadkach stosowana będzie następująca konwencja nazewnictwa:

  • Obszar roboczy: DefaultWorkspace-[identyfikator-subskrypcji]-[lokalizacja-geograficzna]
  • Grupa zasobów: DefaultResourceGroup-[geo]

W przypadku obszarów roboczych utworzonych przez Defender dla Chmury dane są przechowywane przez 30 dni. W przypadku istniejących obszarów przechowywanie zależy od warstwy cenowej obszaru roboczego. Jeśli chcesz, możesz również użyć istniejącego obszaru roboczego.

Jeśli agent zgłasza obszar roboczy inny niż domyślny , wszystkie plany usługi Microsoft Defender zapewniające ulepszone funkcje zabezpieczeń włączone w subskrypcji powinny być również włączone w obszarze roboczym.

Uwaga

Firma Microsoft podejmuje silne zobowiązania w zakresie ochrony prywatności i bezpieczeństwa tych danych. Firma Microsoft przestrzega surowych wymogów z zakresu zabezpieczeń i zgodności — od kodu po działanie usługi. Aby uzyskać więcej informacji na temat obsługi danych i prywatności, przeczytaj Defender dla Chmury Data Security.

Dołączanie zasobów spoza platformy Azure

Defender dla Chmury może monitorować stan zabezpieczeń komputerów spoza platformy Azure, ale musisz najpierw dołączyć te zasoby. Przeczytaj artykuł Dołączanie komputerów spoza platformy Azure , aby uzyskać więcej informacji na temat dołączania zasobów spoza platformy Azure.

Bieżące monitorowanie zabezpieczeń

Po wstępnej konfiguracji i zastosowaniu zaleceń Defender dla Chmury następnym krokiem jest uwzględnienie Defender dla Chmury procesów operacyjnych.

Przegląd Defender dla Chmury zapewnia ujednolicony widok zabezpieczeń we wszystkich zasobach platformy Azure i wszystkich połączonych zasobach spoza platformy Azure. W poniższym przykładzie pokazano środowisko zawierające wiele problemów do rozwiązania:

dashboard.

Uwaga

Defender dla Chmury nie będzie zakłócać normalnych procedur operacyjnych, będzie pasywnie monitorować wdrożenia i udostępniać zalecenia na podstawie włączonych zasad zabezpieczeń.

Po pierwszym wyrażeniu zgody na korzystanie z Defender dla Chmury dla bieżącego środowiska platformy Azure upewnij się, że zapoznasz się ze wszystkimi zaleceniami, które można wykonać na stronie Rekomendacje.

Zaplanuj odwiedzenie opcji analizy zagrożeń jako część codziennych operacji zabezpieczeń. Możesz tam zidentyfikować zagrożenia bezpieczeństwa środowiska, takie jak ustalenie, czy dany komputer jest częścią botnetu.

Monitorowanie nowych lub zmodyfikowanych zasobów

Większość środowisk platformy Azure jest dynamiczna, a zasoby są regularnie tworzone, w górę lub w dół, ponownie skonfigurowane i zmieniane. Defender dla Chmury pomaga zapewnić wgląd w stan zabezpieczeń tych nowych zasobów.

Po dodaniu nowych zasobów (maszyn wirtualnych, SQL baz danych) do środowiska platformy Azure Defender dla Chmury automatycznie odnajdze te zasoby i zacznie monitorować ich zabezpieczenia. Obejmuje to także role procesu roboczego i role sieci Web usługi PaaS. Jeśli zbieranie danych jest włączone w zasadach zabezpieczeń, dodatkowe możliwości monitorowania zostaną włączone automatycznie dla maszyn wirtualnych.

Należy również regularnie monitorować istniejące zasoby pod kątem zmian konfiguracji, które mogły stwarzać zagrożenia bezpieczeństwa, dryfować z zalecanych punktów odniesienia i alertów zabezpieczeń.

Wzmacnianie ochrony dostępu i aplikacji

W ramach operacji zabezpieczeń należy również zastosować środki zapobiegawcze w celu ograniczenia dostępu do maszyn wirtualnych i kontroli aplikacji, które są uruchomione na maszynach wirtualnych. Blokując ruch przychodzący na maszyny wirtualne platformy Azure, zmniejszasz narażenie na ataki, jednocześnie zapewniając łatwy dostęp do nawiązywania połączenia z maszynami wirtualnymi w razie potrzeby. Funkcja dostępu just in time do maszyn wirtualnych umożliwia wzmacnianie dostępu do maszyn wirtualnych.

Możesz użyć adaptacyjnych kontrolek aplikacji , aby ograniczyć możliwości uruchamiania aplikacji na maszynach wirtualnych znajdujących się na platformie Azure. Między innymi pomaga to chronić maszyny wirtualne przed złośliwym oprogramowaniem. Korzystając z uczenia maszynowego, Defender dla Chmury analizuje procesy uruchomione na maszynie wirtualnej, aby ułatwić tworzenie reguł listy dozwolonych.

Reagowanie na zdarzenia

Defender dla Chmury wykrywa zagrożenia i powiadamia o nich w miarę ich występowania. Firmy powinny śledzić pojawianie się nowych alertów zabezpieczeń i w razie potrzeby podejmować działania w celu zbadania ataku lub usunięcia jego skutków. Aby uzyskać więcej informacji na temat działania Defender dla Chmury ochrony przed zagrożeniami, zobacz Jak Defender dla Chmury wykrywa i reaguje na zagrożenia.

Chociaż ten artykuł nie ma zamiaru pomóc w tworzeniu własnego planu reagowania na zdarzenia, będziemy używać Microsoft Azure reagowania na zabezpieczenia w cyklu życia chmury jako podstawy etapów reagowania na zdarzenia. Poszczególne etapy przedstawiono na poniższym diagramie:

Stages of the incident response in the cloud lifecycle.

Uwaga

W tworzeniu takiego planu może pomóc Computer Security Incident Handling Guide (Przewodnik obsługi zdarzeń zabezpieczeń komputera) Narodowego Instytutu Norm i Technologii (NIST).

Alerty Defender dla Chmury można używać w następujących etapach:

  • Wykrywanie: zidentyfikuj podejrzane działanie w co najmniej jednym zasobie.
  • Ocenianie: wykonaj wstępną ocenę, aby uzyskać więcej informacji na temat podejrzanego działania.
  • Diagnozowanie: zastosuj czynności zaradcze, aby przeprowadzić procedurę techniczną rozwiązania problemu.

Każdy alert zabezpieczeń zawiera informacje, które mogą ułatwić lepsze zrozumienie natury ataku i zasugerować możliwe ograniczenie jego skutków. Niektóre alerty zapewniają również linki do większej ilości informacji lub do innych źródeł informacji w ramach platformy Azure. Dostarczonych informacji możesz użyć do dalszej analizy i rozpoczęcia rozwiązywania problemu. Możliwe jest również wyszukiwanie danych związanych z zabezpieczeniami przechowywanych w obszarze roboczym.

W poniższym przykładzie pokazano podejrzane działanie w protokole RDP:

Suspicious activity.

Ta strona pokazuje szczegóły dotyczące godziny, o której nastąpił atak, nazwy hosta źródłowego, docelowej maszyny wirtualnej oraz poszczególnych kroków zaleceń. W niektórych okolicznościach informacje źródłowe ataku mogą być puste. Aby uzyskać więcej informacji o tym typie zachowania, przeczytaj artykuł Missing Source Information in Defender dla Chmury Alerts (Brak informacji o źródle w Defender dla Chmury Alerty).

Po zidentyfikowaniu systemu, którego bezpieczeństwo zostało naruszone, można uruchomić automatyzację przepływu pracy , która została wcześniej utworzona. Są to kolekcje procedur, które można wykonać z Defender dla Chmury po wyzwoleniu przez alert.

W filmie wideo How to Leverage the Defender dla Chmury Microsoft Operations Management Suite for an Incident Response (Jak korzystać z Defender dla Chmury & Microsoft Operations Management Suite na potrzeby reagowania na zdarzenia) można zobaczyć kilka pokazów, które pokazują, jak Defender dla Chmury można używać w każdym z tych etapów.

Uwaga

Przeczytaj artykuł Zarządzanie alertami zabezpieczeń i reagowanie na nie w Defender dla Chmury, aby uzyskać więcej informacji na temat korzystania z funkcji Defender dla Chmury, które ułatwiają ci proces reagowania na zdarzenia.

Następne kroki

W tym dokumencie przedstawiono sposób planowania wdrożenia Defender dla Chmury. Aby dowiedzieć się więcej o Defender dla Chmury, zobacz następujące kwestie: